Romtelecom a lansat acum vreo 2 saptamani un serviciu numit MyClickNet ca pe un serviciu de “personalizare a Internetului.”
Ceea ce nu spune insa comunicatul oficial si sta ascuns prin Termenii si conditile site-ului este de fapt ceea ce face in realitate acest serviciu: Intercepteaza TOT traficul tau de Internet (pagini vizitate + cautari), pentru a te bombarda cu publicitate. Relevanta, evident. Totul gratuit si “anonim” :D
Astfel, Romtelecom a incheiat o afacere cu o companie numita Phorm cunoscuta pentru “serviciile” sale de publicitate bazate pe analiza traficului de Internet al ISP-istilor, motiv pentru care a fost data afara din UK, iar Marea Britanie este investigata de Comisia Europeana.
Sistemul este atit de anonim, incat ca nu cumva sa dispara optiunea ta cu privire la sistem “noi folosim un flash cookie pentru a stoca preferinţa dumneavoastră privind acordul.” (din documentul cu privacy).
Pentru cei interesati de detaliile tehnice, vedeti thread-ul inceput de georgica pe Softpedia, dar si documentatia facuta de Richard Clayton de la Univ. Cambbridge in anul 2008 cind sistemul era contestat in Marea Britanie (descriere si probleme).
Pentru chestiunile practice referitor la redirectarile pe care le face, vezi qbert sau m1ha1. Deja cazul are rasunet in strainatate: Forumul DPI, Paul Bernal iar dataprotection.ro a raspuns ca deja investigheaza cazul. (desi de fapt mai competent ar fi ANCOM catre care o sa trimitem maine o informare - aici am notat eronat initial, ANSPDCP este competenta pe articolul 4 - update 18.10)
In speranta ca Romtelecom o sa faca o fapta buna in ceasul al 13-lea si sa caute un serviciu serios de consultanta pe tema protectiei datelor personale (sa nu uitam ca anul trecut a avut un alt caz penibil legat cu accesul la baza de date de clienti de catre o companie de asigurari) iata citeva dispozitii legislative utile:
legea 506/2004 Art 4:
(1) Confidentialitatea comunicarilor transmise prin intermediul
retelelor publice de comunicatii electronice si a serviciilor de
comunicatii electronice destinate publicului, precum si confidentialitatea
datelor de trafic aferente sunt garantate.
(2) Ascultarea, inregistrarea, stocarea si orice alta forma de
interceptare ori supraveghere a comunicarilor si a datelor de trafic
aferente este interzisa, cu exceptia cazurilor urmatoare:
a) se realizeaza de utilizatorii care participa la comunicarea
respectiva;
b) utilizatorii care participa la comunicarea respectiva si-au dat,
in prealabil, consimtamantul scris cu privire la efectuarea acestor
operatiuni;
c) se realizeaza de autoritatile competente, in conditiile legii.
Cum in cazul nostru abonatii nu dau consimtamintul in scris, ci este vorba de un consimtamint implicit (detalii la m1ha1) este clar ca dispozitia respectiva nu este indeplinita.
Mai mult, in sensul acestui caz utilizatorul care participa la comunicarea respectiva este si site-ul cu care se incearca conexiunea respectiva si care, in niciun caz, nu este intrebat daca permite interceptarea acestei comunicatii.
Sistemul are si alte probleme - de la faptul ca sistemul de opt-out pare a nu functiona (vezi la m1ha1) pina la faptul ca exclude anumite tipuri de continul (asa cum scrie in documentele lor: subiecte delicate, precum conţinutul legat de tutun, pornografie, alcool, droguri, aspecte legate de sănătate, sau care vizează copiii sub vârsta de 14 ani.) indica faptul ca avem de a face un un Deep Packet Inspection (DPI) - adica o analiza detaliata a continutului fiecarui pachet trimis de catre utilizator prin ISP.
Colac peste pupaza, legea 161/2003 clasifica drept infractiune orice interceptare fara drept a comunicatiilor de date informatice:
Art. 43. - (1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică şi care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic constituie infracţiune şi se pedepseşte cu închisoare de la 2 la 7 ani.
Sintagma “fara drept” este definita in art 35 si ma indoiesc ca exista un contract cu ambii utilizatori (persoana care acceseaza site-ul + proprietarului site-ului) de catre Romtelecom in care sa scrie ca i se permite sa intercepteze traficul web in scopul afisarii de reclame. Faptul ca traficul este sters este irelevant cita vreme interceptarea este facuta, ba mai mult se creeaza un fel de rezumat al interceptarii(crearea unui sumar al paginilor în timp real cum scrie in documentele Romtelecom).
Deranjant este si faptul ca o companie in care statul roman are inca peste 40% isi poate permite sa faca asa ceva, intr-un mod total netransparent si profitind de lipsa de cunostinte a utilizatorilor obisnuiti de Internet. Mai mult, daca in UK s-a inceput cu niste teste si au fost discutii lungi cu autoritatile referitoare la legalitatea sistemului, la noi Romtelecom a considerat ca este un serviciu care trebuie servit utilizatorilor fara discutii si comentarii si uitind sa explice utilizatorilor si ca intercepteaza traficul, dar si ca folosind tehnologia Phorm (care apare undeva ascunsa in capitolul de Privacy).
De altfel tratarea Romaniei ca pe o tara bananiera de catre marile firme nu este nicidecum suprinzatoare, ceea ce sublinieaza cu atit mai mult necesitatea initiativei legislative de Neutralitate a Internetului care ar face orice caz de DPI ca fiind ilegal.
Pentru cei mai putin familiarizati cu notiunile tehnice, Richard are citeva comparatii sugestive ale sistemului Phorm in alte domenii:
- Posta decide sa iti deschida scrisorile, ca sa primesti publicitate mai legata de ce ai vrea sa cumperi tu
- Compania de CATV (sa zicem UPC) ar scana cartile si revistele citite, ca sa-ti dea reclame mai bine tintite
- Carrefour iti face automat un profil al cumparaturilor facute astfel incat atunci cind intri la McDonalds sa ti se dea direct meniul vegetarian. :)
PS: Multumesc lui Huitzilopochtli, care mi-a indicat subiectul in comentariul la insemnarea trecuta.
Update 18.10.2011 12:30 Am primit pe email si pozitia Romtelecom pe care o regasiti mai jos. Eu am insistat pe problema “interceptarii traficului” si astept o completare a pozitiei si pe tema asta.
“Cred ca unele aspecte ale proiectului MyClicknet nu au fost tocmai bine intelese si dorim sa precizam oficial in numele Romtelecom urmatoarele, avand in vedere ca nu ni s-a dat posibilitatea sa exprimam un punct de vedere inainte de publicarea postarii:
Dupa cum am precizat in comunicatul catre public din 28 septembrie 2011, MyClicknet este un serviciu optional si gratuit (link).
MyClicknet este oferit clientilor Romtelecom numai pe baza de opt-in (metoda agreata de legislatia nationala si europeana) – acestea sunt invitatiile mentionate in postarile citate in articolul tau. Inainte de a decide daca activeaza sau nu serviciul, clientul este informat despre scopul in care datele sale sunt procesate – acest lucru se face prin intermediul Termenilor si conditiilor (gasesti atasat documentul, informatiile sunt publicate vizibil pentru utilizatorii MyClicknet la adresa myclicknet.romtelecom.ro/terms) si a Politicii privind cookie-urile (gasesti atasat documentul, informatiile sunt publicate vizibil pentru utilizatorii MyClicknet myclicknet.romtelecom.ro/privacy).
Acest proces este diferit de cel aplicat in UK, unde intelegem ca s-a lucrat pe model opt-out. In reteaua Romtelecom, activarea se face numai in urma unei actiuni din partea utilizatorului (consimtamant expres) prin selectarea “butonului” DA. Mai mult, clientul isi poate modifica oricand, gratuit si imediat, optiunea (alegand sa activeze/dezactiveze daca doreste serviciul) accesand myclicknet.romtelecom.ro/status.
De asemenea, clientii au posibilitatea de a se informa despre drepturile lor in ceea ce priveste datele cu caracter personal prin intermediul unei sectiuni distincte care este prezenta pe pagina de start a serviciului. Astfel sectiunea “Protectia datelor cu caracter personal” (gasesti atasat documentul, informatiile sunt publicate vizibil pentru utilizatorii MyClicknet myclicknet.romtelecom.ro/privacy) ofera clientilor posibilitatea de a se informa despre drepturile lor conform Legii 677/2001.
Daca un client alege sa opteze pentru activarea serviciului, (deci dupa obtinerea consimtamantului sau) datele personale ale clientului (IP-ul sau) sunt anonimizate prin intermediul unui HashedID (o insiruire de 24 de caractere aleatorii). Scopul acestui HashedID nu este identificarea utilizatorului, ci diferentierea sa fata de alti utilizatori ai serviciului.
Practic, din acest moment, HashedID-ului se asociaza o serie de etichete legate de preferintele utilizatorului. Aceste etichete nu includ preferinte ale utilizatorului legate de subiecte sensibile (precum medicatie, tutun, materiale pentru adulti) sau orice preferinte exprimate in timpul accesarii conexiunilor securizate sau pe webmail, spre exemplu. In urma acestor asocieri, utilizatorul va vedea in spatiile de promovare ale partenerilor publisheri reclame personalizate. Nu este vorba despre livrarea de reclame care sa intrerupa navigarea pe web, ci pur si simplu despre o “personalizare” a spatiilor de promovare deja existente pe web si tocmai de aceea consideram serviciul unul de utilitate pentru clienti.
+
Cu privire la asigurarea confidentialitatii comunicatiilor, aceasta este asigurata prin folosirea acestui HashedID in loc de date ce pot identifica abonatul; astfel, sistemul nu foloseste date personale, ci acest HashedID. Astfel nu se identifica un client, ci un astfel de HashedID catre care se livreaza continut personalizat. Mai mult, acest HashedID este prelucrat intern si automat de catre aplicatie (nu prin interventie umana), nu se stocheaza istoricul lui si nu este comunicat catre terte parti. Subliniem inca o data ca analiza nu vizeaza site-uri securizate https, peer-to-peer sau continutul comunicarilor, ci doar domeniul de interes.”